Hỏi về cài đặt Honeyd - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

Hỏi về cài đặt Honeyd

[Question] Hỏi về cài đặt Honeyd	23/09/2010 08:51:53 (+0700) \| #1 \| 221275

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình đang tìm hiểu về honeypots và demo cài đặt honeyd.
Đã cài các gói phụ thuộc phát sinh trong quá trình cài đặt:
1. Cai Gcc:
+ Kernel-headers
+ Glibc-headers
+ Glibc-devel
+ Libgomp
+ Gcc
2. Libdnet 1.11:
+ Libstdc++-devel
+ gcc-c++
+ Libdnet
3. Libpcap-1.1.1:
+ Flex
+ Bison
+ Bison-devel
+ Libpcap
4. Libpcre (pcre):
+ Pcre-devel
+ Pcre
5. Libevent-1.3b:
6. Libedit
7. Libedit-devel
8. Zlib-devel

Sau đó cài đặt honeyd:
TH1: chỉ dùng ./configure thì ok. Nhưng khi make thì lại thấy lỗi:
Code:

/usr/local/lib/libpcap.so: undefined reference to `pcap_lex'
collect2: ld returned 1 exit status
make[2]: *** [honeyd] Error 1
make[2]: Leaving directory `/soft/honeyd-1.5c'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/soft/honeyd-1.5c'
make: *** [all] Error 2

TH2: dùng ./configure --with-libevent=/usr/local/include/
thì lại báo lỗi:
Code:

checking for pcap_get_selectable_fd in -lpcap... no
checking for dnet-config... /usr/local/bin/dnet-config
checking whether libdnet is a libdumbnet... no
checking for libevent... /usr/local/include/
configure: error: event.h or libevent.a not found in /usr/local/include/

Mong các pro giúp mình ? smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	23/09/2010 15:06:48 (+0700) \| #2 \| 221304

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Phiên bản Libevent-1.3b có thể có vấn đề, bro thử nâng cấp lên version 2. Xem lại đường dẫn này có tồn tại tập tin liên quan đến libevent hay không ?

[root@linux phuoc]# ls -l /usr/lib/libevent.so
[root@linux phuoc]# ls /usr/local/lib/libevent.so

Sau đó tạo symbolic link từ /usr/local/lib đến /usr/lib . Thử re-compile lại 1 lần nữa.

P/s: topic này nên gởi trong box Thảo luận hệ điều hành *nix thì hay hơn vì nó liên quan đến cài đặt một ứng dụng.

Good luck

[Question] Hỏi về cài đặt Honeyd	24/09/2010 07:34:48 (+0700) \| #3 \| 221345

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình đã cài Libevent-2.0.7-rc:
Code:

#libevent-2.0.7-rc.tar.gz
libevent-2.0.7-rc#./configure
libevent-2.0.7-rc#make
libevent-2.0.7-rc#make install

Nhưng khi configure lại honeyd:
Code:

#configure --with-libevent=/usr/local/include

thì vẫn báo:

checking for libevent... /usr/local/include/
checking for event_priority_init in -levent... no
configure: error: "libevent is too old - you need to install a newer version. Check http://www.monkey.org/~provos/libevent/"

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	24/09/2010 08:26:04 (+0700) \| #4 \| 221353

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Lý do gì mà bạn cứ --with-libevent=/usr/local/include vậy? Bạn có cài vào đấy không?

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	24/09/2010 08:48:42 (+0700) \| #5 \| 221356

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

kyoshiroit wrote:

Mình đã cài Libevent-2.0.7-rc:
Code:
#libevent-2.0.7-rc.tar.gz
libevent-2.0.7-rc#./configure
libevent-2.0.7-rc#make
libevent-2.0.7-rc#make install
Nhưng khi configure lại honeyd:
Code:
#configure --with-libevent=/usr/local/include
thì vẫn báo:

checking for libevent... /usr/local/include/
checking for event_priority_init in -levent... no
configure: error: "libevent is too old - you need to install a newer version. Check http://www.monkey.org/~provos/libevent/"

Trong compile libevent phải là ./configure --prefix=/usr/local/libevent

Sau đó đến khi compile honeyd

./configure --with-libevent=/usr/local/libevent

Good luck

[Question] Hỏi về cài đặt Honeyd	27/09/2010 07:18:03 (+0700) \| #6 \| 221545

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình đã làm theo hướng dẫn của tranhuuphuoc, khi configure --with-libevent=/usr/local/libevent => ok không có lỗi.
Nhưng khi make thì lại báo lỗi:

Bị sao vậy smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	27/09/2010 12:54:28 (+0700) \| #7 \| 221579

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Bro dùng *nix distro nào vậy, tôi thử cài đặt honeyd trên distro đó để làm 1 bài tips luôn thử xem. smilie

[Question] Hỏi về cài đặt Honeyd	27/09/2010 12:57:27 (+0700) \| #8 \| 221580

hmtaccess
Member

Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline

tranhuuphuoc wrote:

Bro dùng *nix distro nào vậy, tôi thử cài đặt honeyd trên distro đó để làm 1 bài tips luôn thử xem.

Sẵn làm luôn 1 cái tut từ A -> Z luôn đi anh smilie

[Question] Hỏi về cài đặt Honeyd	27/09/2010 16:34:20 (+0700) \| #9 \| 221606

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình cài trên CentOs 5.

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	30/09/2010 08:25:13 (+0700) \| #10 \| 221823

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình đã cài được honeyd.
File cấu hình honey.conf:

Khi chưa start honeyd, lấy 1 máy bất kỳ scan máy 10.0.0.2 thì ra đúng:

Khi start honeyd, thì lại ra không đúng so với file cấu hình:

Và honeyd thì:

Cấu hình liệu mình có sai gì không mà sao scan ko ra vậy? smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	30/09/2010 09:20:09 (+0700) \| #11 \| 221830

hmtaccess
Member

Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline

kyoshiroit wrote:

Mình đã làm theo hướng dẫn của tranhuuphuoc, khi configure --with-libevent=/usr/local/libevent => ok không có lỗi.
Nhưng khi make thì lại báo lỗi:

Bị sao vậy

Uả vậy bước này bạn khắc phục sao vậy, thiếu thư viện à

[Question] Hỏi về cài đặt Honeyd	30/09/2010 09:22:34 (+0700) \| #12 \| 221831

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

hmtaccess wrote:

kyoshiroit wrote:

Mình đã làm theo hướng dẫn của tranhuuphuoc, khi configure --with-libevent=/usr/local/libevent => ok không có lỗi.
Nhưng khi make thì lại báo lỗi:

Bị sao vậy

Uả vậy bước này bạn khắc phục sao vậy, thiếu thư viện à

Mình làm theo hướng dẫn này: http://www.honeyd.org/phpBB2/viewtopic.php?t=599&sid=d3b98ee3ccab8d40684e7c047f901c3b

vậy là cài được.

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	30/09/2010 09:29:05 (+0700) \| #13 \| 221833

hmtaccess
Member

Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline

Mình chưa tìm hiểu về cái này, nhưng mình nghĩ cuốn sách này có thể giúp được bạn,

Code:

Addison.Wesley.Virtual.Honeypots.From.Botnet.Tracking.to.Intrusion.Detection.Jul.2007.chm

link
http://www.mediafire.com/?l08gk8qdkcebjqv

[Question] Hỏi về cài đặt Honeyd	30/09/2010 10:00:33 (+0700) \| #14 \| 221839

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Quyền đó mình đã có, là cơ sở để mình làm bài lý thuyết.

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	01/10/2010 06:03:31 (+0700) \| #15 \| 221889

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

kyoshiroit wrote:

Mình đã cài được honeyd.
File cấu hình honey.conf:

Khi chưa start honeyd, lấy 1 máy bất kỳ scan máy 10.0.0.2 thì ra đúng:

Khi start honeyd, thì lại ra không đúng so với file cấu hình:

Và honeyd thì:

Cấu hình liệu mình có sai gì không mà sao scan ko ra vậy?

Lỗi này không pro nào biết sao?? smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	01/10/2010 08:47:01 (+0700) \| #16 \| 221891

WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline

Bạn đã cài perl chưa ? mình không rành về honeyd nhưng nhìn log thì thấy có lỗi file perl

-- w~ --

[Question] Hỏi về cài đặt Honeyd	05/10/2010 09:19:10 (+0700) \| #17 \| 222161

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Mình đã kiểm tra kỹ, đã cài perl đầy đủ. Nhưng khi scan từ máy XP vào thì vẫn không detect được OS.
Vẫn ra hiện tượng:
Code:

Initiating OS detection (try #1) against 192.168.1.101
Retrying OS detection (try #2) against 192.168.1.101
Retrying OS detection (try #3) against 192.168.1.101
Retrying OS detection (try #4) against 192.168.1.101
Retrying OS detection (try #5) against 192.168.1.101

Trong khi file cấu hình là:

thì khi scan chỉ detect được port 22, các port 80, 23 lại không detect được.

Các connection thì bị close, killing.

Mong các bro gợi ý. smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	06/10/2010 11:00:15 (+0700) \| #18 \| 222222

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Hic2!! Sao vấn đề này ít người gặp vậy! smilie

(

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	06/10/2010 12:19:24 (+0700) \| #19 \| 222232

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

http://ubuntuforums.org/showpost.php?p=9572899&postcount=5

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	06/10/2010 22:10:56 (+0700) \| #20 \| 222271

H3x4
Member

Joined: 02/04/2009 00:03:16
Messages: 242
Offline

Cái perm denied là sao vậy bạn? Có vẻ như cái script perl kia không được thực thi thì phải?

[Question] Hỏi về cài đặt Honeyd	07/10/2010 07:37:43 (+0700) \| #21 \| 222279

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Đã tham khảo ý của quanta: http://ubuntuforums.org/showpost.php?p=9572899&postcount=5
Mình đã kiểm tra và không còn lỗi về perl hiện lên.
Test thừ bằng telnet:
Code:

telnet 10.0.0.1 80

Thì bên honeyd:

Và bên máy telnet thì chẳng get được gì. smilie

Thử bằng FTP:
thì bên honeyd:

Cũng chẳng được gì.
Còn file log của FTP thì:

Khi dùng lệnh: nmap -sS -p 21,80 -O 10.0.0.1
thì nhận được:

Đây là file cấu hình:

Bị sao vậy? smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	07/10/2010 08:02:21 (+0700) \| #22 \| 222280

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Start lại honeyd với option -l xem log nó bắn ra những gì.

PS: Nội dung mấy cái file cấu hình và output khi gõ lệnh sao không copy-paste mà phải chụp màn hình làm gì cho mệt nhỉ?

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	07/10/2010 09:05:46 (+0700) \| #23 \| 222282

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Đây là file log khi dùng telnet port 80:

Và đây là file log khi FTP:

P/S: thấy chụp nó rõ hơn smilie

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	07/10/2010 11:23:59 (+0700) \| #24 \| 222294

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

kyoshiroit wrote:

Test thừ bằng telnet:
Code:
telnet 10.0.0.1 80
Thì bên honeyd:

Và bên máy telnet thì chẳng get được gì.

Thử bằng FTP:
thì bên honeyd:

Cũng chẳng được gì.

"Chẳng được gì" nghĩa là sao? Hiểu theo nghĩa thông thường, có nghĩa là telnet hoặc ftp vào thì cứ connecting... hoặc con trỏ nhấp nháy rồi đứng nguyên ở đó. Nhưng nếu thế thì làm sao log trên Terminal của honeyd lại bắn ra là "connection established" được nhỉ. Sao cái này bạn không cho xem luôn screenshot cho dễ hình dung.

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	07/10/2010 11:43:57 (+0700) \| #25 \| 222297

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Thì khi Telnet bằng port 80, gõ lệnh telnet 10.0.0.1 80 thì ra màn hình đen, chỉ có 1 dấu con trỏ nhấp nháy, không có gì hết.
Tương tự như dùng FTP.
Mặc dù file log ghi connection established, nhưng bên máy dùng telnet và FTP lại không có gì hiện lên để chứng minh hết.

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	07/10/2010 12:41:05 (+0700) \| #26 \| 222299

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

kyoshiroit wrote:

Thì khi Telnet bằng port 80, gõ lệnh telnet 10.0.0.1 80 thì ra màn hình đen, chỉ có 1 dấu con trỏ nhấp nháy, không có gì hết.

telnet xong thử gõ mấy cái này và enter xem nó ra cái gì:

HEAD / HTTP/1.0
GET /abc.txt HTTP/1.1
POST /xyz.txt HTTP/1.1

kyoshiroit wrote:

Tương tự như dùng FTP.

ftp làm sao lại tương tự với telnet được. Tương tự là tương tự thế nào.

kyoshiroit wrote:

Mặc dù file log ghi connection established, nhưng bên máy dùng telnet và FTP lại không có gì hiện lên để chứng minh hết.

Có thể bạn cài đặt, cấu hình nhưng lại chưa hiểu gì cả. Bạn muốn nó chứng minh cái gì?

PS: Bạn không gửi screenshot khi ftp lên được à.

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	07/10/2010 18:16:54 (+0700) \| #27 \| 222329

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Đây là về FTP, kết nối liền bị close sau khi gõ lệnh FTP 10.0.0.1

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	07/10/2010 19:09:10 (+0700) \| #28 \| 222333

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Máy bạn cài honeyd có LAN IP là bao nhiêu vậy?

Let's build on a great foundation!

[Question] Hỏi về cài đặt Honeyd	07/10/2010 21:40:07 (+0700) \| #29 \| 222345

kyoshiroit
Member

Joined: 10/02/2009 20:27:56
Messages: 110
Location: VinPearl
Offline

Máy Honeyd IP là 10.0.0.5
Máy dùng để test FTP, telnet, Scan IP là 10.0.0.9
Máy đích là 10.0.0.1.
Máy honeyd dùng arp để đầu độc ARP.
Code:

farpd 10.0.0.1

Luôn luôn lắng nghe, lâu lâu mới hiểu...

[Question] Hỏi về cài đặt Honeyd	08/10/2010 08:23:35 (+0700) \| #30 \| 222354

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Theo mình, "connected" rồi lại "connection closed by remote host" là do có thể có vấn đề với firewall hay là con FTP server mô phỏng kia. Còn vụ telnet port 80 sao rồi bạn?

Let's build on a great foundation!

Go to:

Users currently in here
1 Anonymous